Aviso de seguridad de Debian

xfs -- un enlace simbólico puede usarse para cambiar permisos de ficheros

Fecha del informe:
31 de mar de 1999
Paquetes afectados:
xfs
Vulnerable:
No
Referencias a bases de datos de seguridad:
En la base de datos de Bugtraq (en SecurityFocus): Id. en BugTraq 359.
En el diccionario CVE de Mitre: CVE-1999-0434.
Información adicional:
Algunas implementaciones de xfs asignan incorrectamente los permisos de /tmp/.font-unix incluso si esa localización es un enlace simbólico a otro fichero. Debian 2.1 (slink) no es vulnerable a este problema.

Esta página de ISS Security X-Force Alerts - xfree86-xfs-symlink-dos proporciona un buen resumen de la vulnerabilidad de xfs.

La vulnerabilidad se podía utilizar para cambiar los permisos del archivo /etc/shadow, tal y como se muestra en Neohapsis Archives (BugTraq) 1999 "bugs in xfs". InDenial BugTraq Archives - 1999 Mar "bugs in xfs" muestra la amenaza.